Checkliste
7 Tipps für Ihren sicheren Weg in die Cloud
Gewissheit, wo die Daten sind
Die wesentliche Fragestellung im Bereich der Datensicherheit ist: Wo speichert der Cloud-Anbieter die Cloud-Daten der Kunden? Laut einer aktuellen IDC-Studie zum Thema "Mobile Content Management in Deutschland" legen über 60 Prozent der deutschen Unternehmen Wert darauf, dass die Cloud-Datencenter in Deutschland oder zumindest in Europa stehen (www.fabasoft.de/idc-mobile). Und das ist wichtig und gut. Denn nur so wird die regionale Versorgungssicherheit und Unabhängigkeit Europas gewährleistet und die Sicherheit erhöht. Die geschäftlichen Daten und Dokumente bleiben in Deutschland oder in einem Land der europäischen Union und unterliegen den deutschen bzw. europäischen Richtlinien für Datenschutz und Datensicherheit. Manche Cloud-Anbieter geben dem Kunden die Wahlfreiheit, wo der Speicherort der Daten liegen soll. Beachtung findet auch der Aspekt, dass die kaufmännische Sorgfaltspflicht eine sichere Cloud-Lokation im Sinne eines geeigneten Risikomanagements verlangt.
Ist die Service-Qualität geprüft?
Eine Überprüfung aller relevanten Standards für Sicherheit und Zuverlässigkeit sollte regelmäßig erfolgen. Einen seriösen Anbieter erkennt man unter anderem daran, dass dieser die Service Levels, geplante Wartungsarbeiten sowie Monitoring Berichte veröffentlicht. Ein weiteres Indiz für ein gutes Cloud-Service sind Zertifizierungen.
- Herausforderung Cloud Security
Cloud-Computing-Umgebungen stellen in Bezug auf die Sicherheit IT-Verantwortliche und Systemverwalter vor neue Herausforderungen. Nach Angaben von Intel sind besonders folgende Faktoren zu berücksichtigen: - Mangel an Kontrolle:
Eine dynamische Technik wie Cloud Computing verschiebt die Grenzen der Unternehmens-IT über das hauseigene Rechenzentrum hinaus, etwa durch Einbeziehen von Public-Cloud-Services. Da - Unzureichende Transparenz:
In einer Cloud-Umgebung ist es wegen der hohen Komplexität schwieriger, Compliance-Vorgaben umzusetzen und die entsprechenden Audits vorzunehmen. - Virtualisierung:
Durch die wachsende Zahl von Virtual Machines steigt das Sicherheitsrisiko, weil alle diese Komponenten verwaltet werden müssen, Stichworte Patch-Management, Implementierung von Schutzsoftware, Einspielen von Updates und so weiter. - Ort der Datenspeicherung:
Rechtliche Vorgaben wie etwa das Bundesdatenschutzgesetz verlangen die Speicherung von Daten in Cloud-Rechenzentren, die innerhalb der EU angesiedelt sind und ausschließlich den hier geltenden Gesetzen unterliegen. Das erschwert die Wahl eines Cloud-Service-Providers. - Public Clouds:
Bei der Nutzung von Public Clouds sind spezielle Sicherheitsanforderungen zu berücksichtigen, etwa bezüglich des Schutzes der Daten, die beim Provider lagern, sowie beim Transport der Daten über Weitverkehrsverbindungen und das Internet. - Zugriff auf die Cloud von privaten Systemen aus:
Trends wie der Einsatz von privaten Endgeräten für betriebliche Zwecke erschweren die Absicherung des Zugriffs auf Cloud-Computing- Ressourcen. Eine Lösung ist der Einsatz von Mobile-Device- Management-Software. - Audits und Überwachung von Sicherheits-Policies:
Compliance- Regeln wie SOX (Sarbanes-Oxley Act), EuroSOX, HIPAA (Health Insurance Portability and Accountability Act) und PCI DSS (Payment Card Industry Data Security Standard) erfordern regelmäßige Überprüfungen der IT-Sicherheitsvorkehrungen. Speziell in Public- und Hybrid-Clouds, in denen neben einem Unternehmen ein Cloud-Service- Provider im Spiel ist, sind entsprechende Audits aufwendig. - Risiken durch gemeinsame Nutzung von Ressourcen:
In Cloud- Umgebungen teilen sich mehrere Kunden (Public Clouds, Community Clouds) physische IT-Ressourcen wie CPU, Speicherplatz und RAM. Wird ein Hypervisor kompromittiert, können die Anwendungen mehrerer Kunden betroffen sein.
Zertifizierte Qualitätsstandards
Dabei weist ein Anbieter die Professionalität seines Rechenzentrumsbetriebs objektiv nach, beispielsweise durch Zertifizierungen wie ISO 27001, ISO 20000, ISAE 3402 Standard oder eine TÜV-Zertifizierung. Diese Zertifikate bestätigen die Informationssicherheit, die Qualität beim IT-Service-Management und dass es sich um ein sicheres, verlässliches und qualitativ hochwertiges Cloud-Service handelt. Das Zertifikat des TÜV Rheinland ist das Prüfsiegel mit den derzeit international umfangreichsten Anforderungen: Beginnend mit einem "Cloud-Readiness-Check" prüft der TÜV die Cloud auf ihre Tauglichkeit in punkto Sicherheit, Interoperabilität, ComplianceCompliance und Datenschutz. Danach begutachtet er das Cloud-Design und die eigentliche Umsetzung genauso wie Themen der Architektur, Netzwerksicherheit oder Zugriffskontrollen. Nach erfolgreichem Abschluss dieser Prüfung erhält ein Anbieter das Zertifikat "Certified Cloud-Service". Alles zu Compliance auf CIO.de